S / Key以外のLinuxでの実際のワンタイムパスワード（OTP）？

Question

確かに、信頼できないコンピュータからリモートシステムにログインするのは良い考えではありません。しかし、時にはそれは明らかに必要です。もちろん、暗号化されていないSSHキーファイルを公開することはできません。通常のパスワードを入力することもありません。

S/Keyは「通常の」ソリューションのようですが、リスト上のパスワードの順序に厳密に従う必要があります。すべての関係者がリストの使用を同期する必要があるため、これは共有アカウントには望ましくありません。

使用順序に関する要件なしでOTPを作成する方法はありますか？他のアイデア？

背景：2人の管理者がアカウントを共有しています。もう1つには、封印され、そのアカウントの情報が含まれている「緊急封筒」を渡す必要があります。封印を破ることは、他の管理者が利用できない場合にのみ許可されます。

Insyte · Accepted Answer

これには [〜＃〜] otpw [〜＃〜] を使用します。簡単な実装。パスワードリストを簡単に複製できます。システムは番号でパスワードを要求するので、リストの同期を維持しようとしても問題はありません。

duffbeer703 · Answer

S/Keyはこのシナリオに理想的ですが、もう少し作業を行う必要があります。

緊急封筒ごとに特別なアカウントを作成します。これらのアカウントはsudoersに追加され、rootになることができます。これにより、必要な監査証跡（エンベロープごとに1つのアカウント、ユーザーごとに1つのエンベロープ）と必要な柔軟性が得られます。

緊急事態の後、管理者は次のパスワードの封筒を持ち帰る必要があります。これにより、監査証跡が得られます。

Tatas · Answer

私はしばらくの間Yubikeyのファンでした。

http://www.linuxjournal.com/article/10166

Joe H. · Answer

問題は、グループアカウントを使用しようとしていることのようです。 2つの可能性があります

ユーザーごとに別々のログインをしてから、共有アカウントにアクセスしてもらいます。
OSがサポートしている場合は、2つのログインに同じUID番号を割り当てます。

2番目のケースでは、ユーザーがユーザーであると考えるs/key（UIDまたはUID番号）をテストし、各ログインに個別のリストを割り当てることができるかどうかをテストする必要があります。

（私は認めます-私はLinuxで＃2を試したことがありませんが、以前はそれを使用してlong昔、オペレーターに代替シェルを提供しました。これは実際には実行するためのメニューシステムでした。ルートとしてのいくつかの固定コマンド最近では、Sudoを使用して実行するだけです）

pQd · Answer

mobile-otp -Java対応の携帯電話で実行できる「安価な」ソフトトークンです。私はそれをウェブアプリでのみうまく使用しましたが、私が見るように、それらにはpamモジュールもあります。

あるいは wikid がありますが、私はこれを使用したことはありません。

Cornelius · Answer

これは古いスレッドですが、誰かがそれに遭遇する可能性があります。 2つの興味深い要件があります。

複数の人間が共有する1つのアカウント
緊急時のエンベロープ。これは1回だけ機能するはずです。

LinOTP それに対処できます。異なるベンダーの複数の異なるOTPトークンを1人のユーザーに割り当てることができます。（必須1）

さらに、固定パスワードトークンを作成することもできます。これを封筒に入れてください。ここで、すばらしい部分があります。認証を成功させるためにトークンを使用できる頻度を定義できます。したがって、この緊急エンベロープトークンにこの値= 1を設定できます（要件2）

Thomas · Answer

以前はOPIEを使用していました。番号でパスワードを要求されるので、リストのどれが必要かがわかります。

しかし今、私はYubikeyに移りました。

Chuck Kollars · Answer

標準のS/Keyが要件を満たさない理由がわかりません。

誰かがログインするたびに、必要なパスワードのインデックス番号を含む目に見える「チャレンジ」が送信されます。アカウントを共有している他のユーザーとの調整なしに、ワンタイムパスワードの印刷リストのどの行が要求されているかを把握するのに十分な情報が提供されます。（これを確認する別の方法は、必要なすべての調整がコンピューター自体によって提供され、複数のユーザーが互いに話し合う必要がないことです。）同様に、に与えるのに十分な情報（インデックス番号とシードの両方）があります。要求されたパスワードを再生成するプログラム（もちろん秘密を知っている場合）。

封筒には、ワンタイムパスワードのリスト全体の別の印刷されたコピー、または元の（キー以外の）パスワードのいずれかを含めることができます。（もちろん、最大限のセキュリティを確保するために、エンベロープが開かれた場合は、含まれているもの[OTPのシーケンスまたは元のパスワード]を変更する必要があります。）

したがって、skeyは両方の要件を簡単に満たすようです。なぜ違うものを探しているのか、もう一度教えてください。

Cian · Answer

Vasco VacmanのようなものはRADIUS認証を提供します。これは、通常のPAMを使用してLinuxにログインするために使用できます。物理トークンが必要であり、高価ですが、おそらく現在の状況には適していないでしょう。

JJarava · Answer

もう1つの強力な認証代替手段は、RSASecurIDです。

長所：「クラシック」キーフォブデバイスから、ソフトウェアトークン（iPhoneを含む）、「オンデマンド」（SMS /メールで送信されるOTPコード）まで、選択できる多くの要素が、この場合におそらく使用するものです。（つまり、記事に記載されているすべての「オプション」があります）

長所：ほとんどすべてのシステムと簡単に統合でき、ほとんどのシステムで強力な認証が可能になります

長所：エンドユーザーの捕虜から、使いやすい。

短所：価格。これは、市場で最も安価なソリューションではありません。